LDAP概念和原理介紹
LDAP概念和原理介紹
相信對於許多的朋友來說,可能聽說過LDAP,但是實際中對LDAP的瞭解和具體的原理可能還比較模糊,今天就從“什麼是LDAP”、“LDAP的主要產品”、“LDAP的基本模型”、“LDAP的使用案例”四個方面來做一個介紹。
我們在開始介紹之前先來看幾個問題:
1.我們日常的辦公系統是不是有多個?
2.每個系統之間是不是都有獨立的賬號密碼?
3.密碼多了,有時候半天想不起來哪個密碼對應哪個系統?
4.每次新專案的開發,都需要重新開發和維護一套使用者密碼?
5.維護多套系統的使用者是不是非常頭疼?
So,如今大家再也不用為上面的的問題頭疼了,因為“LDAP統一認證服務”已經幫助大家解決這些問題了。那麼相信大家對“LDAP統一認證服務”是幹嘛的已經有一個大概的瞭解了吧?那我們開始今天要講解的內容吧!
一、什麼是LDAP?
(一)在介紹什麼是LDAP之前,我們先來複習一個東西:“什麼是目錄服務?”
1. 目錄服務是一個特殊的資料庫,用來儲存描述性的、基於屬性的詳細資訊,支援過濾功能。
2. 是動態的,靈活的,易擴充套件的。
如:人員組織管理,電話簿,地址簿。
(二)瞭解完目錄服務後,我們再來看看LDAP的介紹:
LDAP(Light Directory Access Portocol),它是基於X.500標準的輕量級目錄訪問協議。
目錄是一個為查詢、瀏覽和搜尋而優化的資料庫,它成樹狀結構組織資料,類似檔案目錄一樣。
目錄資料庫和關係資料庫不同,它有優異的讀效能,但寫效能差,並且沒有事務處理、回滾等複雜功能,不適於儲存修改頻繁的資料。所以目錄天生是用來查詢的,就好象它的名字一樣。
LDAP目錄服務是由目錄資料庫和一套訪問協議組成的系統。
(三)為什麼要使用
LDAP是開放的Internet標準,支援跨平臺的Internet協議,在業界中得到廣泛認可的,並且市場上或者開源社群上的大多產品都加入了對LDAP的支援,因此對於這類系統,不需單獨定製,只需要通過LDAP做簡單的配置就可以與伺服器做認證互動。“簡單粗暴”,可以大大降低重複開發和對接的成本。
我們拿開源系統(YAPI)做案例,只需做一下簡單的幾步配置就可以達到LDAP的單點登入認證了:
{
"ldapLogin": {
"enable": true,
"server": "ldap://l-ldapt1.ops.dev.cn0.qunar.com",
"baseDn": "CN=Admin,CN=Users,DC=test,DC=com",
"bindPassword": "password123",
"searchDn": "OU=UserContainer,DC=test,DC=com",
"searchStandard": "mail"
}
}
是不是很方便呢?
二、LDAP的主要產品
細心的朋友應該會主要到,LDAP的中文全稱是:輕量級目錄訪問協議,說到底LDAP僅僅是一個訪問協議,那麼我們的資料究竟儲存在哪裡呢?
來,我們一起看下下面的表格:
|
廠商 |
產品 |
介紹 |
|
SUN |
SUNONE Directory Server |
基於文字資料庫的儲存,速度快。 |
|
IBM |
IBM Directory Server |
基於DB2 的的資料庫,速度一般。 |
|
Novell |
Novell Directory Server |
基於文字資料庫的儲存,速度快, 不常用到。 |
|
Microsoft |
Microsoft Active Directory |
基於WINDOWS系統使用者,對大資料量處理速度一般,但維護容易,生態圈大,管理相對簡單。 |
|
Opensource |
Opensource |
OpenLDAP 開源的專案,速度很快,但是非主 流應用。 |
沒錯,這就是正常儲存資料的地方,而訪問這些資料就是通過我們上述所說的LDAP。相信到這裡大家應該瞭解兩者之間的關係了吧!
三、LDAP的基本模型
每一個系統、協議都會有屬於自己的模型,LDAP也不例外,在瞭解LDAP的基本模型之前我們需要先了解幾個LDAP的目錄樹概念:
(一)目錄樹概念
1. 目錄樹:在一個目錄服務系統中,整個目錄資訊集可以表示為一個目錄資訊樹,樹中的每個節點是一個條目。
2. 條目:每個條目就是一條記錄,每個條目有自己的唯一可區別的名稱(DN)。
3. 物件類:與某個實體型別對應的一組屬性,物件類是可以繼承的,這樣父類的必須屬性也會被繼承下來。
4. 屬性:描述條目的某個方面的資訊,一個屬性由一個屬性型別和一個或多個屬性值組成,屬性有必須屬性和非必須屬性。
(二)DC、UID、OU、CN、SN、DN、RDN
|
關鍵字 |
英文全稱 |
含義 |
|
dc |
Domain Component |
域名的部分,其格式是將完整的域名分成幾部分,如域名為example.com變成dc=example,dc=com(一條記錄的所屬位置) |
|
uid |
User Id |
使用者ID songtao.xu(一條記錄的ID) |
|
ou |
Organization Unit |
組織單位,組織單位可以包含其他各種物件(包括其他組織單元),如“oa組”(一條記錄的所屬組織) |
|
cn |
Common Name |
公共名稱,如“Thomas Johansson”(一條記錄的名稱) |
|
sn |
Surname |
姓,如“許” |
|
dn |
Distinguished Name |
“uid=songtao.xu,ou=oa組,dc=example,dc=com”,一條記錄的位置(唯一) |
|
rdn |
Relative dn |
相對辨別名,類似於檔案系統中的相對路徑,它是與目錄樹結構無關的部分,如“uid=tom”或“cn= Thomas Johansson” |
(三)基本模型:
資訊模型:
命名模型:
功能模型:
安全模型:
四、LDAP的使用
那我們是如何訪問LDAP的資料庫伺服器呢?
統一身份認證主要是改變原有的認證策略,使需要認證的軟體都通過LDAP進行認證,在統一身份認證之後,使用者的所有資訊都儲存在AD Server中。終端使用者在需要使用公司內部服務的時候,都需要通過AD伺服器的認證。
那麼程式中是如何訪問的呢? 我們以PHP指令碼作為例子:
$ldapconn = ldap_connect(“10.1.8.78")
$ldapbind = ldap_bind($ldapconn, 'username', $ldappass);
$searchRows= ldap_search($ldapconn, $basedn, "(cn=*)");
$searchResult = ldap_get_entries($ldapconn, $searchRows);
ldap_close($ldapconn);
1. 連線到LDAP伺服器;
2. 繫結到LDAP伺服器;
3. 在LDAP伺服器上執行所需的任何操作;
4. 釋放LDAP伺服器的連線;
這章就只介紹LDAP的一些概念和基本的原理,程式碼的操作下一章再展開來講錯或講的不好的地方,還望指教!~